Risikobehandlung (Risk Treatment / Risikomaßnahme)

Risikobehandlung bezeichnet den Prozess, bei dem eine Organisation nach der Risikoidentifikation und -bewertung entscheidet, wie mit jedem Risiko umzugehen ist: durch Vermeidung (Risikovermeidung), Reduktion durch Schutzmaßnahmen (Risikominderung), Übertragung auf Dritte (z.B. Cyberversicherung) oder bewusste Akzeptanz des Restrisikos. ISO 27001 und BSI IT-Grundschutz fordern eine dokumentierte Risikobehandlungsentscheidung für jedes identifizierte Risiko mit Zuweisung von Verantwortlichkeiten und Umsetzungsfristen. In IT-Vergaben für sicherheitskritische Systeme sollten Auftraggeber verlangen, dass der Auftragnehmer einen Risikobehandlungsplan vorlegt, der zeigt, wie er wesentliche Risiken auf ein für den Auftraggeber akzeptables Niveau reduziert.